Search

The Man In The Middle Attack


מהי התקפת Man in The Middle?

התקפת Man In The Middle זוהי התקפה אשר בה התוקף מעמיד את עצמו באמצע שיחה בין משתמש ואפליקציה, ומאזין לה בסתר. המטרה של התקפה זו היא לרגל, לגנוב מידע, ואף לעיתים לערוך פרטים העוברים בה כגון: פרטי אימות, מספרי אשראי וכו'.

את התקפת Man In The Middle ניתן להכיר תחת מספר שמות

- התקפת MITM.

- התקפת Man In The Middle.

- התקפת MiM.

- התקפת האדם בתווך.

- התקפת האדם שבאמצע.

התקפת MITM היא התקפה בה מעורבים שלושה גורמים

- התוקף - אשר מאזין בסתר לשני גורמים המתקשרים אחד עם השני.

- קורבן אחד או יותר.

- מרכיב ה-Switch – באמצעותו התקשורת מתאפשרת בין שני הגורמים.


כיצד התקפת MITM עובדת?

התקפת MITM מתאפשרת בכך שהתוקף מאזין לתקשורת בין שני בקורבנות. כאשר התוקף מאזין לתקשורת של הקורבנות הוא יכול להזריק מידע שגוי אל התקשורת המתבצעת על מנת שהקורבנות יפנו את התקשורת אל התוקף בכך הוא יקבל שליטה על המידע הנע בין הקורבנות. לאחר מכן, התוקף יפנה את התקשורת שהופנתה אליו מן הקורבנות אל הכתובת המקורית אליה היה אמור להגיע המידע. מה שיוצר flow של MITM (Man In The Middle). כלומר הקורבנות חושבים שהמידע עובר ביניהם כאשר בעצם התוקף מנהל את התעבורה. בזמן שהמידע מועבר אל התוקף, התוקף רשאי לשנות את המידע כרצונו.

סוגים של MITM

1. מתקפת Sniffing

מתקפת ה-Sniffing זוהי מתקפה בה מנתחים את הפקטות העוברת ברשת. ניתן ליישם מתקפה זו באמצעות MITM או כלים מוכנים כמו Sniffers המסניפים את הרשת.

מניעת Sniffing

- אימות – אימות עם סיסמה חזקה זהו הצעד הראשון למניעת התקפות Sniffing – כאשר ל-Wireless יש סיסמה חזקה, לתוקף קשה יותר להאזין לתקשורת של הקורבנות.

- שימוש ב-Anti-sniffers – אלה תוכנות המזהות מתקפות sniffing ומונעות אותן.

- קריפטוגרפיה – הצפנת המידע בתקשורת העוברת, כך שאפילו אם יבצעו מתקפת Sniffing, התוקף יראה את המידע כמוצפן.

פקטה – זהו מידע אשר עובר ברשת בפורמט מוגדר.

2. מתקפת IP Spoofing

מתקפת IP Spoofing מערבת קורבן אחד, כאשר הקורבן מציף את הקורבן במידע שגוי הגורם לו לחשוב שיש לו כתובת IP שונה. במתקפת IP Spoofing, התוקף מציף את הקורבן בפקטות בעלות שכבה עם פרוטוקול IP.

מהו פרוטוקול ה-IP?

פרוטוקול ה-IP הוא פרוטוקול תקשורת המשמש לשליחת מידע ללא צורך באימות. פרוטוקול ה-IP נמצא בשכבת הרשת, והוא מכיל את החלקים הבאים:

- חלק ה-IP Header: המכילה את כתובת היעד והכתובת הנוכחית של הפקטה, ועוד נתונים הדרושים על מנת לנתב את הפקטה אל היעד ברשת.

- חלק ה-IP Data: מכילה את המידע הפשוט שהפקטה אמורה להעביר אל היעד.

מניעת IP Spoofing

- שימוש ב-High End Router – ניתן למנוע שליחת פקטות IP באמצעות High End Router - ניתן להגדיר טווח כתובות ל-High End Router שהתעלם ממנו חוץ מהטווח של הרשת הנוכחית.

- שימוש ב-ACL – ניתן למנוע שליחת פקטות IP באמצעות ACL - ניתן להגדיר טווח כתובות ל-ACL שהתעלם ממנו חוץ מהטווח של הרשת הנוכחית.

3. מתקפת ARP Spoofing

על מנת שנוכל להבין ARP Spoofing או ARP Poisoning יש להבין כיצד פרוטוקול ARP עובד. פרוטוקול ARP זהו פרוטוקול תקשורת הממפה את כתובות ה-IP לפי כתובות ה-MAC המזוהים ברשת.

כיצד פרוטוקול ה-ARP עובד?

כאשר פקטה נשלחת למחשב, היא פונה לנתב אשר פונה לתוכנית ה-ARP על מנת לגלות את כתובת ה-MAC של המחשב אליו היא נשלחת. תוכנית ה-ARP מחפשת ב-ARP cache את כתובת ה-IP של מחשב היעד אליו הפקטה נשלחת, ומפרשת את כתובת ה-IP לכתובת MAC. אם לא נמצאה כתובת ה-IP ב-ARP cache, נשלחת פקטת ARP Broadcast לכל המחשבים ברשת המוגד לה היעד FF:FF:FF:FF:FF:FF או 255.255.255.255 ושואלת אותם אם הם מכירים את כתובת ה-IP. אם אחד המחשבים מכיר באותו כתובת IP, הוא מחזיר את כתובת ה-MAC של אותה כתובת IP, והמחשב מעדכן את כתובת ה-MAC ב-ARP cache לפניות עתידיות.

מהי מתקפת ARP Spoofing/Poisoningוכיצד היא עובדת?

במתקפת ARP Poisoning/Spoofing התוקף מציף את הקורבן בפקטות ARP הגורמות לקורבן לחשוב שהתוקף הוא הנתב בכך שבפקטות אלה הכתובת ה-IP היא של הנתב וכתובת ה-MAC היא של התוקף, וכשהתוקף שולח פקטה זו לקורבן, כתובת ה-MAC של הנתב משתנה לכתובת ה-MAC של התוקף וגורמת לקורבן לחשוב שהתוקף הוא הנתב. השפעה זו תקפה לכמה שניות לכן צריך לשלוח פקטות אלה אחת אחרי השניה. לאחר שליחת פקטה אחת, הקורבן שולח את כל המידע שעובר דרכו אל התוקף, וכאשר התוקף מאזין למידע זה, הוא יכול לעדכן את ה-ARP cache של הקורבן לקדמותו – כלומר שכתובת ה-IP של הנתב תהייה מתורגמת לאותה כתובת MAC ב-ARP cache.

מניעתARP Poisoning/Spoofing

- שימוש ב-Static ARP Tables – שימוש ב-Static ARP Tables לא יאפשר לתוקף להשיג את ה-flow של ה-MITM, וגם לבצע מתקפת SSLStrip.

- שימוש ב-High End Router – באמצעות High End Router ניתן להגביל את כמות ה-ARP packets אותה ה-switch מקבל פר שניה על מנת למנוע מתקפות ARP Spoofing.

- כלים כגון ArpON , ARPDefender, Arpwatch, XArp, anti-arpspoof, AntiARP ועוד.

4. מתקפת DNS Spoofing

ב-DNS Spoofing או DNS Poisoning התוקף מאזין לתקשורת של הקורבן. כאשר הקורבן שולח בקשת DNS כלשהי, התוקף שולח לו מענה מזויף לבקשה שלו הגורם לו להתחבר לשרת שלו.

מניעתDNS Spoofing/Poisoning

- פרוטוקול DNSSEC – זהו פרוטוקול הנועד לאבטח את הפקטות DNS בכך שהוא מוסיף פרטי אימות נוספים לפרוטוקול ה-DNS.

5. מתקפת Session Hijacking

על מנת להבין את מתקפת Session Hijacking עלינו להבין מהו Session. רוב שרתי האינטרנט יוצרים session token זמני לדפי התחברות על מנת שהמשתמש לא התחבר לדף שנית לאחר ההתחברות הראשונית - בפעם השנייה שהמשתמש מתחבר, הוא מתחבר עם ה-session token שלו. במתקפת Session Hijacking התוקף משיג flow של MITM, ומשיג את ה-session token שלו על מנת להתחבר לאתר שאליו התחבר הקורבן.

מניעת Session Hijacking

- שימוש ב-SSL בכל התקשורת: הצפנת התקשורת ב-SSL תגרום לתקשורת להיות בלתי קריאה לתוקף.

- פונקציית Log out – פונקציית היציאה מאלצת את הסרבר ליצר למשתמש session חדש כל פעם שהוא שהוא מתחבר כך שזה מקשה לתוקף להשיג את ה-session הנכון מבינהם.

- הגבלת זמן לכל session – אם משתמש שוכח להתנתק מהמשתמש שלו, session מוגבל בזמן יכול למנוע את האפשרות של מתקפת Session Hijacking.

- שימוש ב-Captcha - תוקף לא יכול להתחבר עם ה-session ID של הקורבן לדף עם Captcha.

6. מתקפת SSLStrip

במתקפת SSLStrip התוקף משיג flow של MITM בין שרת האינטרנט המצפין את הפקטות שלו בהצפנת HTTPS ובין הקורבן המתקשר עם אותו השרת, וגורם לקורבן לשלוח את הפקטות אל השרת וכך גם אליו ב-Plain Text ולא בהצפנת HTTPS כפי שהשרת מצפה לקבל.

מניעתSSLStrip

7. שימוש ב-Static ARP Tables – שימוש ב-Static ARP Tables לא יאפשר לתוקף להשיג את ה-flow של ה-MITM, וגם לבצע את כל מתקפת SSLStrip.

8. רק SSL – ניתן להגדיר למשתמש לשלוח רק פקטות המוצפנות ב-SSL ולא ב-Plain Text, וכך מתקפת SSLStrip לא תוכל להתבצע.

ראוי לציין שמתקפת MITM היא לא ברורה מאליו, וכן צריך להיזהר ממנה. לכן, יש דעת כיצד היא עובדת ולהימנע ממנה.

ליאור מזרחי, מפתח וחוקר בחברת ThinkCyber.

41 views

© 2020 by ThinkCyber

THE 2020

CYBERIUM